SQL注入防护TextBoxes

时间:2012-03-21 21:25:36

标签: sql vb.net sql-injection

我已经找到了一些这方面的教程,但它们并不是我想要的,我可以使用以下用于用户名字段和密码字段

Private Sub UsernameTextBox_KeyPress(ByVal sender As Object, ByVal e As System.Windows.Forms.KeyPressEventArgs) Handles UsernameTextBox.KeyPress
    If Char.IsDigit(e.KeyChar) OrElse Char.IsControl(e.KeyChar) OrElse Char.IsLetter(e.KeyChar) Then
        e.Handled = False
    Else
        e.Handled = True
    End If
End Sub

但对于电子邮件字段,我如何防止针对该文本框的SQL注入,因为某些电子邮件帐户中有句号或短划线?

更新 下面是我使用的insert语句的示例。 

Dim con As SqlConnection
con = New SqlConnection()
Dim cmd As New SqlCommand
 Try
  con.ConnectionString = "Data Source=" & Server & ";Initial Catalog=" & Database & ";User ID=" & User & ";Password=" & Password & ";"
  con.Open()
  cmd.Connection = con
  cmd.CommandText = "INSERT INTO TB_User(STRUserID, password, Email) VALUES('" & UsernameTextBox.Text & "', '" & MD5Hash(PasswordTextBox.Text) & "', '" & EmailTextBox.Text & "')"
  cmd.ExecuteNonQuery()
Catch ex As Exception
  MessageBox.Show("Error while inserting record on table..." & ex.Message, "Insert Records")
Finally
  con.Close()
End Try

所以我需要使用参数化查询来运行它,而不是现在我是怎么做的?

3 个答案:

答案 0 :(得分:11)

不要过滤掉用户输入中的“无效”数据,而应考虑使用参数化查询,而不是将用户输入直接放入查询中;这是非常糟糕的形式。

要使用参数运行当前查询,这非常简单:

Dim con As New SqlConnection()
Dim cmd As New SqlCommand()

Try
    con.ConnectionString = "Data Source=" & Server & ";Initial Catalog=" & Database & ";User ID=" & User & ";Password=" & Password & ";"
    con.Open()
    cmd.Connection = con
    cmd.CommandText = "INSERT INTO TB_User(STRUserID, password, Email) VALUES(@username, @password, @email)"
    cmd.Parameters.Add("@username", SqlDbType.VarChar, 50).Value = UsernameTextBox.Text
    cmd.Parameters.Add("@password", SqlDbType.Char, 32).Value = MD5Hash(PasswordTextBox.Text)
    cmd.Parameters.Add("@email", SqlDbType.VarChar, 50).Value = EmailTextBox.Text
    cmd.ExecuteNonQuery()
Catch ex As Exception
    MessageBox.Show("Error while inserting record on table..." & ex.Message, "Insert Records")
Finally
    con.Close()
End Try

你所要做的就是使用cmd.Parameters.Add一个参数名称和正确的数据库类型(我猜想的那些可能不匹配,所以你想要改变它们),然后设置值到您想要在查询中使用的值。参数名称以@开头。

答案 1 :(得分:3)

它不依赖于文本框。不要撰写加入这样的字符串的sql语句:

"SELECT * FROM User WHERE UserName=" + tbName.Text + ...

使用存储过程或参数化查询,您将可以安全地进行SQL注入。

使用参数时,文本框内容将用作值,因此它包含的内容无关紧要。

答案 2 :(得分:0)

使用如下参数化查询:

Using conn = New SqlConnection("some connection string")
    Using cmd = New SqlCommand("SELECT Password FROM tblUser WHERE UserName = @Name", conn)
        cmd.Parameters.Add(New SqlParameter("Name", UsernameTextBox.Text))
        conn.Open()
        Dim password As String = DirectCast(cmd.ExecuteScalar(), String)
        Console.WriteLine(password)
    End Using
End Using

这是注射安全的!

相关问题
最新问题